Wim Behage
Directeur Accent Automatisering
In mijn vorige column schreef ik al over de gevolgen van cybercriminaliteit voor uw bedrijf, de voordelen van Mobile Device Management en over een veilige ICT omgeving. Nu heeft u uw security helemaal op orde, maar vliegen de termen WBP, AVG en GDPR u om de oren. Mooie afkortingen, maar weet u ook waar ze voor staan? De WBP staat voor de Wet Bescherming Persoonsgegevens, de AVG is de Algemene Verordening Gegevensbescherming en in het Engels is dit de General Data Protection Regulation. Volgend jaar wordt de GDPR actief gehandhaafd. Ik vertel u graag wat de belangrijkste punten zijn én hoe u uw ICT omgeving klaar maakt voor 2018.
Wat betekent de GDPR voor u?
Van u wordt verwacht dat u passende beveiligingsmaatregelen treft om datalekken te voorkomen. De overheid hanteert het principe van: don’t tell me, but show me. Dit betekent dat wanneer er sprake is van een datalek, u verplicht bent deze te melden en hier volgens de juiste richtlijnen mee om te gaan.
Wat is dan een datalek?
Er is sprake van een datalek wanneer er met opzet of per ongeluk sprake is van inbreuk op de beveiliging van persoonsgegevens. Dit kan een hack zijn, maar ook het verliezen van een USB-stick of een e-mail naar een verkeerde contactpersoon. U moet dit binnen 72 uur melden. Het verschil met de Wet Meldplicht Datalekken, die op dit moment nog van toepassing is, is dat u de toezichthouder alleen maar hoeft te informeren wanneer er ook daadwerkelijk een lek is geweest.
Heeft u een bewerkersovereenkomst?
Bij het bewerken van persoonsgegevens bent u als bedrijf verplicht om een bewerkersovereenkomst op te stellen tussen de verantwoordelijke voor de persoonsgegevens en degene die de persoonsgegevens bewerkt. Denk hierbij bijvoorbeeld aan de diensten van accountantskantoren. U bent zelf als bedrijf verantwoordelijk voor de persoonsgegevens van uw klanten, maar uw accountantskantoor gebruikt deze gegevens ook. Let wel op: u mag alleen een externe partij, zoals een accountantskantoor, inschakelen na schriftelijke toestemming van de verantwoordelijke, dus uw klant! Bewerkt u op grote schaal persoonsgegevens? Dan bent u ook nog eens verplicht om intern een zogeheten Functionaris Gegevensbescherming aan te stellen.
Handhaving GDPR in mei 2018
In 2016 is de GDPR al in werking getreden en voor ondernemers betekent dit dat zij hun bedrijfsvoering met de GDPR in overeenstemming moeten brengen. Omdat het niet om een simpele aanpassing gaat – de wet bestaat uit 99 artikelen – heeft u hier tot en met 25 mei 2018 de tijd voor. Vanaf deze datum wordt de wet ook daadwerkelijk toegepast en dan geldt er nog maar één privacywet in heel Europa.
Wapen uzelf tegen datalekken
Een goede voorbereiding is het halve werk. De media schrijft op dit moment veel over de GDPR, maar laat u niet bang maken. Zorg ervoor dat uw organisatie goed is voorbereid op een ICT-incident. Het gaat immers niet alleen om aanpassingen in de techniek, net zo belangrijk is het aanpassen van uw organisatie. School uw medewerkers en zorg bijvoorbeeld voor een helder calamiteitenplan. Veel van de datalekken worden namelijk veroorzaakt door menselijke fouten. Neem hier vooral de tijd voor, want doet u het nu goed, dan heeft u hier jarenlang profijt van en perkt u de risico’s in. Creëer bewustwording bij uw medewerkers, want als zij niet weten hoe te handelen, zijn uw technische maatregelen voor niets.
Heeft u hier nog vragen over of bent u benieuwd of uw organisatie al klaar is voor de GDPR? Neem dan vrijblijvend contact met mij op.
